我想用提取查询创建警报。查询应获取最后10秒的数据并找到匹配的短语
我在下面尝试过获取匹配的短语,但它是从现有的所有日志中获取的。我希望这个短语应该在最近10秒的日志中搜索。在kibana我已经尝试了它的工作良好,因为有选项可以在这里设置开放搜索的时间,我没有找到这样的选项
{
"query": {
"match_phrase": {
"log": {
"query": "happy world",
"slop": 3,
"analyzer": "standard",
"zero_terms_query": "none"
}
}
}
}
尝试使用now()函数作为时间戳列的范围查询的一部分
我添加了下面的查询,它运行良好。
{
"query": {
"bool": {
"filter": [
{
"range": {
"@timestamp": {
"from": "{{period_end}}||-1m",
"to": "{{period_end}}",
"include_lower": true,
"include_upper": true,
"format": "epoch_millis",
"boost": 1
}
}
},
{
"match_phrase": {
"log": {
"query": "hello word",
"analyzer": "standard",
"slop": 3,
"zero_terms_query": "NONE",
"boost": 1
}
}
}
],
"adjust_pure_negative": true,
"boost": 1
}
},
"aggregations": {}
}